Entwicklung & Design

Ratgeber: Haftung bei Cloud Computing und SaaS

Lesezeit: 5 Min.
Artikel merken

Laut Schätzungen des Branchenverbands Bitkom soll das Geschäft rund um Cloud Computing und SaaS bis 2015 auf 13 Milliarden Euro zulegen. Aber während Cloud Computing für den Softwareanbieter einerseits viele wirtschaftliche Vorteile bietet, nehmen andererseits auch die haftungsrechtlichen Herausforderungen zu. Das Problem: Die Schadensrisiken der Softwareanbieter beschränken sich nicht mehr nur auf Programmierfehler oder fehlerhafte Backups – sondern umfassen auch Rechtsverletzungen sowie die Haftung bei Datenverlust und für die Sicherheit in der Cloud.

Softwareanbieter in der Haftung: Risiko Datenhaltung und Datenverlust

Gigantische Speicherkapazitäten, schier unbegrenzte Rechenleistung – und dazu auch noch die passende Umgebung: Es geht in der Wolke nicht mehr nur um das „nackte“ Speichern von Daten. Durch Software-as-a-Service-Lösungen werden vom Softwareanbieter auch infrastrukturelle Tätigkeiten übernommen.

Die Datenhaltung spielt sowohl für den Betreiber outgesourcter Backup-Lösungen (PaaS) als auch für den Anbieter outgesourcter Office- oder CRM-Lösungen (SaaS) eine große Rolle.

Das Problem: Im Fall von Datenverlust können hohe Vermögensschäden beim Kunden entstehen – durch Gewinnausfall und Umsatzeinbußen oder durch die mühsame Wiederherstellung der Daten. Am Ende kann der Softwareanbieter dafür haftbar gemacht werden – inklusive aller Schadenersatzforderungen.

Tipp: Die Eintrittsmöglichkeit eines solchen Szenarios sollte auch in den vertraglichen Vereinbarungen und Regelungen zur geschuldeten Leistung, den Verantwortlichkeiten und letztendlich auch der Haftung berücksichtigt werden.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Service-Level-Agreements genau prüfen

(Foto: s_w_ellis / flickr.com, Lizenz: CC-BY)

Das Konzept Cloud Computing ist komplex – auch deshalb, weil SaaS-Lösungen über verschiedene „Modelle“ angeboten werden können. So greifen viele Anbieter von SaaS-Lösungen auf die Serverkapazitäten externer Provider (Drittprovider) zurück. Dadurch entstehen Providerketten. Die Folge: Die Hardware unterliegt dann nicht mehr dem direkten Einfluss des eigentlichen Softwareanbieters.

In diesem Fall kommt den Service-Level-Agreements (SLA-Verträgen) mit dem Betreiber dieser Server (Drittprovider) eine zentrale Bedeutung zu: Sie sollten sehr genau geprüft werden.

Zudem besteht haftungstechnisch unter Umständen ein Drittverschulden, da Fehler nicht nur auf Seiten des Cloud-Computing oder SaaS-Anbieters, sondern auch auf Seiten des Hosters passieren können (z.B. Server- oder Festplattenausfall).

Versicherungstechnisch agiert der Hoster als Subunternehmer des Softwareanbieters. Auch hieraus können sich besondere Anforderungen an Haftung und Versicherungsschutz ergeben: Hat es der Softwareanbieter beispielsweise versäumt mit dem Kunden vertraglich zu vereinbaren, dass seine Daten an Dritte (Cloud Provider) übermittelt werden dürfen, kann schnell eine Datenschutzrechtsverletzung entstehen – für die er verantwortlich gemacht werden kann.

Deutsche Allgemeine Geschäftsbedingungen (AGB) verhindern Risikoverteilung

Probleme machen den Cloud Service Anbietern auch Regelungen in den Allgemeinen Geschäftsbedingungen: Rechtsexperte Dr. Carsten Schulz kommt in dem von ihm geschriebenen Beitrag zum „Einfluss des deutschen Rechts auf Cloudverträge“ zu dem Schluss: „In Deutschland stellen sich für Cloud Services hinsichtlich der vertraglichen Regelungen der Risiken spezielle Problematiken, da hier die Formulierungsfreiheit der AGB der Vertragsparteien von Gesetzesseite bereits erheblich eingeschränkt sind.“

Die entscheidende Hürde für den Provider dabei sei, „dass die deutschen Gesetze zur Gestaltung der AGB eine freie Risikoverteilung zwischen den Vertragsparteien nicht zulassen und darüber hinaus bestimmte Haftungsbeschränkungen der Provider (wie sie häufig in anderen Ländern angewandt werden) unterbinden.“

Der Versuch, Risiken mittels AGB unter den Parteien zu verteilen, könnte deshalb dazu führen, dass der Provider gezwungen werde, die unbegrenzte Haftung zu übernehmen, falls die Allgemeinen Geschäftsbedingungen nicht die strengen Richtlinien der geltenden Gesetzgebung erfüllten.

Auf der nächsten Seite geht es weiter mit:

  • Rechtsprobleme, wenn Daten auf Servern im Ausland liegen
  • Risiko Datenschutz und Datensicherheit
  • Checkliste zur IT-Haftpflicht

Rechtsprobleme, wenn Daten auf Servern im Ausland liegen

(Foto: karindalziel / flickr.com, Lizenz: CC-BY)

Ein weiteres Problem: Viele Provider besorgen sich ihre Ressourcen dort, wo sie am günstigsten sind – im Ausland. Für den Softwareanbieter kann das schnell zum rechtlichen Fallstrick werden. Handelt es sich bei den in der Cloud gespeicherten Daten um steuerrechtlich relevante Daten, muss der Softwareanbieter sich auch an deutsches Recht halten – er darf sie nicht so einfach ausgliedern.

Dazu kommt: Prinzipiell gilt das Rechtssystems jenes Landes, in dem die Daten physikalisch gespeichert sind. Auch, wenn der Server also in Regionen steht, die deutlich vom deutschen Rechtssystem abweichen, haftet der Softwareanbieter für die eingestellten Inhalte.

Risiko Datenschutz und Datensicherheit

In der Regel ist der Softwareanbieter auch für die Sicherheit der Daten gegenüber Dritten verantwortlich. Daraus ergibt sich ein weiteres haftungsrechtliches Risiko.

Denn: Der Schutz der Daten in der Wolke ist ein sensibles Thema, da es bei der Nutzung Cloud-basierter Dienste meist auch zur Speicherung von personenbezogenen Daten auf den Systemen des Dienstleisters kommt (z.B. Arbeitnehmer- und Kundendaten) – die weltweit verteilt abgespeichert sein können.

Um die sensiblen Daten in Cloud-Umgebungen zu schützen und damit IT-Sicherheit zu gewährleisten muss der Softwareanbieter deshalb die

  • Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Authentizität und
  • Zurechenbarkeit technischer Informationen

sicherstellen.

Der Softwareanbieter ist folglich klar in der Verantwortung, wenn seine SaaS-Lösung eine Sicherheitslücke aufweist, durch die Dritte in das System eindringen und an die Datensätze des SaaS-Kunden gelangen.

Übrigens: Auch bei „Hackerangriffen“ von Dritten handelt es sich um sogenannte Vermögensschäden. Um sich dagegen abzusichern, benötigt der Softwareanbieter eine spezielle Vermögensschadenhaftpflicht – in der herkömmlichen Betriebshaftpflichtversicherung ist die Absicherung dieser Risiken standardgemäß nicht enthalten.

Security Service Level Agreements (SSLA) sind vor diesem Hintergrund ein wichtiges Stichwort: Denn wenn bekannt wird, dass Adressdatensätze von SaaS-Kunden an Unbefugte gelangt sind, werden deren Partner oder Kunden wiederum unter Umständen reagieren und die Geschäftsbeziehung auflösen.

Auch in diesem Fall hat der SaaS-Kunde gegenüber dem Softwareanbieter einen Haftungsanspruch. Zudem kann er Schadenersatz für Maßnahmen fordern, mit denen er versucht hat, das Kundenvertrauen wiederherzustellen – z.B. kostspieligem Marketing. Versicherungstechnisch spricht man in einem solchen Fall von einem Folgeschaden.

Checkliste zur IT-Haftpflicht

Durch Cloud Computing verschieben sich Risiken und neue kommen dazu. Softwareanbieter, die solche Haftungsrisiken umfassend versichern wollen, brauchen eine zeitgemäße Vermögensschadenhaftpflicht (kurz IT-Haftpflicht).

Auf welche Leistungsmerkmale dieser IT-Haftpflicht der SaaS- und Cloud Computing-Anbieter dabei besonders achten sollte, zeigt die nachfolgende Checkliste:

  • Hohe Versicherungssummen bzw. Deckungssummen für reine Vermögensschäden (je nach Umfang der angebotenen Leistungen mindestens 1 bis 2,5 Mio. Euro).
  • „All-Risk-Deckung“ für alle Risiken eines IT-Unternehmens (nicht nur benannte Gefahren).
  • Mitversicherung von Vermögensfolgeschäden wie Gewinnausfall des Kunden, Betriebsunterbrechung oder Verzögerungsschaden.
  • Mitversicherung von Mehrkosten des Kunden in Erwartung einer ordnungsgemäßen Leistung.
  • Der Vertrag sollte keine Ausschlüsse oder Sublimite (reduzierte Versicherungssummen) für Rechtsverletzungen z.B. von Datenschutzgesetzen, Urheberrechten oder Persönlichkeitsrechten aufweisen.
  • Die fahrlässige Übermittlung von Viren aller Art, sowie Hackerangriffe Dritter (die z.B. auf Sicherheitslücken der Software zurückzuführen sind) sollten mitversichert sein.
  • Versicherungsschutz für das Abweichen von der vereinbarten Beschaffenheit (z.B. im Rahmen von Service Level Agreements) von Sachen, Lieferungen oder Leistungen, auch wenn verschuldensunabhängig gehaftet werden muss.
  • Die Vergabe von Leistungen an Subunternehmer sollte ausdrücklich versichert sein.
  • Da bei SaaS- und Cloud-Lösungen den vertraglichen Regelungen mit Kunden und Subunternehmern (wie z.B. Hostprovidern) eine sehr wichtige Bedeutung zukommt, müssen auch bestimmte Bereiche der vertraglichen Haftung mitversichert sein.

Zum Thema vertragliche Haftung noch ergänzend: Normalerweise sind durch eine IT-Haftpflicht Ansprüche auf Basis der gesetzlichen Haftungsregelungen (z.B. Schuldrecht im BGB) versichert. Man spricht hier allgemein von „gesetzlicher Haftung“.

Wenn jedoch Softwareanbieter umfangreiche vertragliche Leistungszusagen (z.B. im Rahmen von SLAs) eingehen, kann dadurch die Haftung über die gesetzlichen Regelungen hinaus erweitert werden (Stichwort „Haftungsverschärfung“). Diese erweiterte Haftung ist jedoch nur dann vom Versicherungsschutz umfasst, wenn eine spezielle Leistungserweiterung für Ansprüche aus der „vertraglichen Haftung“ besteht.

Über den Gastautor

Ralph Günther ist Geschäftsführer von exali.de, einem Versicherungsportal für Dienstleister und freie Berufe.

Bildnachweis für die Newsübersicht: Collage verwendet Bilder von karindalziel / flickr.com, Lizenz: CC-BY und © Moonrun, fotolia.com

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

3 Kommentare
Alex
Alex

Schon extrem, mit wie viel Know-How man an die Sache gehen muss. Man unterschätzt den Aufwand auf seiten Sistrix, Dropbox & Co. schon extrem…

Antworten
Thomas Weber
Thomas Weber

ich freue mich darüber, dass es auch einmal einen Artikel zum Thema Haftung und Absicherung gibt. Inhaltlich will ich nur hinzufügen, dass es – per se – keine ALL-Risk Deckung in Haftpflichtversicherung (casualty) gibt, um hier keine Begriffsverwirrungen zu stiften.

Ich/wir empfehlen den „IT-Leuten“ um den Einkaufspreis (= Versicherungsprämie) bei den Vermögensschäden erträglich zu machen, einen hohen SB von zumindest 50% des EGT zu wählen. Im Gegenzug sollte dann der Einkauf von hohen Versicherungssummen (wir empfehlen EUR 10 Mio. aufwärts) – über einen bis 2 Layer (sogenannte Exzedenten) machbar sein.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder